Activer la prévention des suppressions accidentelles dans le service d’approvisionnement Microsoft Entra

Article
10/25/2023

Le service d’approvisionnement Microsoft Entra inclut une fonctionnalité permettant d’éviter les suppressions accidentelles. Cette fonctionnalité garantit que les utilisateurs ne sont pas désactivés ni supprimés dans une application de manière inattendue.

Vous utilisez des suppressions accidentelles pour spécifier un seuil de suppressions. Pour tout ce qui se trouve au-dessus du seuil que vous avez défini, un administrateur doit autoriser explicitement le traitement des suppressions.

Configurer la prévention des suppressions accidentelles

Pour activer la prévention de la suppression accidentelle :

Connectez-vous au centre d'administration Microsoft Entra au minimum en tant qu’Administrateur d'application.
Accédez à Identité>Applications>Applications d’entreprise.
Sélectionnez votre application.
Sélectionnez Approvisionnement puis, dans la page de configuration, sélectionnez Modifier l’approvisionnement.

Connectez-vous au centre d'administration Microsoft Entra au minimum en tant qu’Administrateur d'application.
Accédez à Identité>Identités externes>Configurations>de synchronisation entre locataires, puis sélectionnez votre configuration.
Sélectionnez Provisionnement.

Sous Paramètres, cochez la case Empêcher les suppressions accidentelles, puis spécifiez un seuil de suppression.
Assurez-vous que l’adresse E-mail de notification est renseignée. Si le seuil de suppressions est atteint, un e-mail est envoyé.
Sélectionnez Enregistrer pour enregistrer les modifications.

Lorsque le seuil de suppressions est atteint, le travail est mis en quarantaine et un e-mail de notification est envoyé. Le travail mis en quarantaine peut ensuite être autorisé ou rejeté. Pour en savoir plus sur les états de quarantaine, consultez Approvisionnement d’application en état de quarantaine.

Récupération d’une suppression accidentelle

Lorsque vous rencontrez une suppression accidentelle, elle est visible dans la page d’état du provisionnement. Elle indique Provisioning has been quarantined. See quarantine details for more information.

Vous pouvez cliquer sur Autoriser les suppressions ou Afficher les journaux d’approvisionnement.

Autorisation des suppressions

L’action Autoriser les suppressions a pour effet de supprimer les objets qui ont déclenché le seuil de suppressions accidentelles. Utilisez cette procédure pour accepter les suppressions.

Sélectionnez Autoriser les suppressions.
Cliquez sur Oui dans le message de confirmation pour autoriser les suppressions.
Un message confirmant que les suppressions ont été acceptées s’affiche alors. L’état repasse à sain au cycle suivant.

Refus des suppressions

Examinez et rejetez des suppressions si nécessaire :

Déterminez la source des suppressions. Vous pouvez utiliser les journaux d’approvisionnement pour plus d’informations.
Empêchez la suppression en réaffectant l’utilisateur ou le groupe à l’application (ou la configuration), en restaurant l’utilisateur ou le groupe, ou en mettant à jour votre configuration de provisionnement.
Une fois que vous avez apporté les modifications nécessaires pour empêcher la suppression de l’utilisateur ou du groupe, redémarrez l’approvisionnement. Ne redémarrez pas le provisionnement tant que vous n’avez pas apporté les modifications nécessaires pour empêcher la suppression des utilisateurs ou des groupes.

Tester la prévention des suppressions

Pour tester la fonctionnalité, vous pouvez déclencher des événements de désactivation/suppression en définissant un seuil bas, par exemple 3, puis en modifiant les filtres d’étendue, en annulant l’affectation d’utilisateurs et en supprimant des utilisateurs de l’annuaire (voir les scénarios courants dans la section suivante).

Laissez le travail d’approvisionnement s’exécuter (20 à 40 minutes), puis revenez à la page d’approvisionnement. Vérifiez le travail de provisionnement en quarantaine et choisissez d’autoriser les suppressions ou d’examiner les journaux de provisionnement pour comprendre pourquoi les suppressions se sont produites.

Scénarios courants de désapprovisionnement à tester

Supprimer un utilisateur ou le placer dans la corbeille.
Bloquer la connexion d’un utilisateur.
Désattribuer un utilisateur ou un groupe de l’application (ou de la configuration).
Supprimer un utilisateur d’un groupe qui lui donne accès à l’application (ou la configuration).

Pour en savoir plus sur les scénarios de désapprovisionnement, consultez Fonctionnement de l’approvisionnement de l’application.

Forum Aux Questions

Quels scénarios comptent dans le seuil de suppression ?

Quand un utilisateur est configuré pour être supprimé de l’application cible (ou du locataire cible), il est comptabilisé dans le seuil de suppressions. Voici des scénarios susceptibles d’entraîner la suppression d’un utilisateur de l’application cible (ou du locataire cible) : désattribuer l’utilisateur de l’application (ou de la configuration) et suppression réversible ou définitive d’un utilisateur dans l’annuaire. Groupes évalués pour le décompte des suppressions par rapport au seuil de suppression. Outre les suppressions, la même fonctionnalité opère également pour les désactivations.

Quel est l’intervalle d’évaluation du seuil de suppression ?

Il est évalué à chaque cycle. Si le nombre de suppressions ne dépasse pas le seuil pendant la durée d’un cycle unique, le « disjoncteur » n’est pas déclenché. Si plusieurs cycles sont nécessaires pour atteindre un état stable, le seuil de suppressions est évalué par cycle.

Comment ces événements de suppression sont-ils journalisés ?

Vous pouvez trouver des utilisateurs qui devraient être désactivés ou supprimés, mais qui ne le sont pas en raison du seuil de suppression. Accédez à Journaux d’approvisionnement, puis filtrez Action avec StagedAction ou StagedDelete.

Partager via